In einigen Artikeln beim WordPress-Magazin kam es schon zur Sprache: Wenn man sich mal den Header von WordPress im HTML-Code ansieht, wird man fast erschlagen. Viele Einträge und Funktionen scheinen auch gar nicht zwingend notwendig zu sein. Gerade in Richtung Suchmaschinenoptimierung gedacht, sollte man ja auch bei Verhältnis zwischen Code und Text auf der Seite darauf achten, dass der Anteil an Text überwiegt.
Das heißt also aufräumen, aufräumen, aufräumen! Bei WordPress-Themes verwendet man dazu am besten die Datei functions.php. Diese wird bei jedem Erstellen von HTML-Code (also von Artikeln, Seiten, usw.) mit abgefragt und somit spart man sich Arbeiten an den core-Dateien von WordPress. Bei Updates muss man auch nicht erneut core-Dateien anpassen und Workarounds programmieren.
Eine gute Anleitung, um die wp_head-Funktion hinsichtlich ihrer Ausgaben zu beeinflussen, findet sich bei Peter Coles. Hier die kommentierte Zusammenfassung für unsere Copy-Paste-Fraktion (einfach über den Theme-Editor in die Datei functions.php einfügen – Sicherheitskopie vorher anfertigen!):
[sourcecode language=’php’]
[/sourcecode]
Falls es zu Problemen kommen sollte, bitte die Kommentar-Funktion hier nutzen!
Alternativ für NichtCoder kann man das Plugin Secure WordPress nutzen; dort ist es nur ein Klick.
Vor allem hat die “Coder”-Variante den Nachteil, dass ich sie bei jedem Update der functions.php wieder berücksichtigen muss.
@Michael,
nachdem functions.php im Theme-Ordner liegt und auch dort angepasst wird, ist die “Coder”-Variante auch wordpress-update-kompatibel. 😉
Ich nehm das wieder zurück, ich dachte es sei wp-includes/functions.php gemeint…
@Frank,
ich habe dein WP-Secure-Plugin (http://bueltge.de/wordpress-login-sicherheit-plugin/652/) mal ausprobiert. Kann es sein, dass das Auskommentieren der Zeile bzgl. ‘wlwmanifest’ (Windows Live Writer) nicht funktioniert? Hab es mit einem WP v2.6.2 getestet und egal ob der Haken in den Einstellungen gesetzt ist oder nicht, die Zeile befindet sich immer im Quelltext.
Danke. Das war mal ein guter Tipp. Ich finde vor allem die Entfernung der WP Version recht wichtig. So erkennen die bösen jungs nicht, auf welcher Version man fährt.
Ich bezweifle, dass die Entfernung von drei Zeilen im Head-Bereich irgendeinen messbaren Effekt hat hinsichtlich der Text-Noise-Ratio. Schau dir nur mal den Quelltext der tagcloud hier auf dieser Seite an. Da wäre – falls das überhaupt was bringt – wesentlich mehr zu erreichen.
@Markus: Die Entfernung der WP-Version aus dem Header bringt auch aus Sicherheitsgründen alleine nicht viel. Sie steht immer noch im Feed. Und “die bösen Jungs” lachen da doch nur drüber.
@fdb
Langsam ernährt sich das Eichhörnchen… 😉
@Thomas Langel: ich schaue es mir an, eventuell habe ich ein Problem mit der Klasse zum Auslesen der Werte.
Den Generator kann man auch damit entfernen
function no_generators() {
return ”; }
add_filter(‘the_generator’,’no_generators’);
Dann ist auch der im Feed verschwunden.
Den Meta-Tag “Generator” zu entfernen mag den head-Bereich entschlacken, ist aber nicht gerade sinnvoll, wenn ich an genau die Personengruppen denke, die sich für den Quelltext interessieren. Webentwickler, Nerds und Designer, die genau diese Information interessiert (falls diese sonst nirgends auf der Website zu entnehmen ist). Außerdem ist der Tag meiner Meinung nach auch eine Homage an die Entwicklergemeinschaft. Sicherheitsbedenken muss ich – besonders, wenn ich mein WordPress-System aktuell halte – keine haben.
@Frank
Danke für das Update beim WP-Secure Plugin. Die Einstellung bzgl. Windows Live Writer funktioniert jetzt!
@Johannes:
“Sicherheitsbedenken muss ich – besonders, wenn ich mein WordPress-System aktuell halte – keine haben.”
Johannes, das meinst du doch nicht im Ernst.
Jeden Tag ein neues Sicherheitsleck, jeden Monat neue Updates
ich kann WP nicht mehr bei Kunden einsetzen, weil ICH verantwortlich gemacht werde für Sicherheitslecks, Updates aber nicht bezahlt werden ;=(
also, wiege du dich nicht in Sicherheit und sei vielleicht ein klein wenig weniger vorlaut ;)=
Danke für den Tipp!
Danke für den Artikel – den Header fand ich schon immer zum kotzen… außerdem glaube ich, dass hiermit schon viele Hacker rausgeschmissen werden…
Hallo,
kann man irgendwie auch den “Personalisierten Header”, also die Headergrafik, die im Adminpanel hochgeladen werden kann aus dem wp_head entfernen?
Oder gibt es da eine andere Möglichkeit?
Ich bin langsam am verzweifeln…
Mit WP-Secure-Plugin geht es echt einfach. Gibt es nicht auch noch ein CSS-Less Merg-Plugin? Teilweise werden über 20 CSS-Dateien geladen.